FAQ AWS Certificate Manager

AWS Certificate Manager (ACM) adalah layanan yang memungkinkan Anda menyediakan, mengelola, dan men-deploy sertifikat Secure Sockets Layer/Transport Layer Security (SSL/TLS) publik dan privat dengan mudah. Sertifikat SSL/TLS digunakan untuk mengamankan komunikasi jaringan dan membuat identitas situs web melalui Internet serta sumber daya pada jaringan privat. ACM meniadakan proses manual untuk pembelian, pengunggahan, dan perpanjangan sertifikat SSL/TLS yang memakan waktu. Dengan AWS Certificate Manager, Anda dapat dengan cepat meminta sertifikat, men-deploy sertifikat tersebut pada sumber daya AWS, seperti Elastic Load Balancer, distribusi Amazon CloudFront, serta API Gateway, dan memungkinkan ACM mengelola perpanjangan sertifikat. Anda juga dapat menggunakan sertifikat ini untuk menghentikan lalu lintas dengan aman pada beban kerja komputasi apa pun yang memerlukan sertifikat publik, termasuk yang berjalan pada instans EC2, kontainer, dan/atau host on-premise. Layanan ini juga memungkinkan Anda membuat sertifikat privat untuk sumber daya internal dan mengelola siklus aktif sertifikat tersebut secara terpusat. Sertifikat SSL/TLS publik dan privat yang tersedia melalui ACM dan digunakan secara khusus dengan layanan terintegrasi ACM, seperti Elastic Load Balancing, Amazon CloudFront, dan Amazon API Gateway tidak dikenai biaya. Jika Anda memilih untuk menerbitkan sertifikat publik yang dapat diekspor, Anda akan membayar untuk penerbitan sertifikat, perpanjangan sertifikat, dan penggunaan API terkait. Anda cukup membayar sumber daya AWS yang dibuat untuk menjalankan aplikasi. Anda membayar biaya bulanan untuk operasi setiap CA privat sampai Anda menghapusnya dan untuk sertifikat privat yang Anda terbitkan dan tidak digunakan secara khusus dengan layanan terintegrasi ACM.

Sertifikat SSL/TLS memungkinkan browser web mengidentifikasi dan menerapkan koneksi jaringan terenkripsi ke situs web menggunakan protokol Secure Sockets Layer/Transport Layer Security (SSL/TLS). Sertifikat digunakan di dalam sistem kriptografik yang dikenal sebagai infrastruktur utama publik (PKI). PKI memberikan cara bagi satu pihak untuk menetapkan identitas pihak lain menggunakan sertifikat jika keduanya memercayai pihak ketiga - yang dikenal sebagai otoritas sertifikat. Anda dapat mengunjungi topik Konsep dalam Panduan Pengguna ACM untuk informasi dan definisi tambahan.

Sertifikat privat mengidentifikasi sumber daya di dalam organisasi, seperti aplikasi, layanan, perangkat, dan pengguna. Dalam menetapkan saluran komunikasi yang dienkripsi, setiap titik akhir menggunakan sertifikat dan teknik kriptografik untuk membuktikan identitasnya pada titik akhir lain. Titik akhir API internal, server web, pengguna VPN, perangkat IoT, dan banyak aplikasi lain menggunakan sertifikat privat untuk membuat saluran komunikasi terenkripsi yang diperlukan agar operasi mereka dapat tetap aman.

Baik sertifikat publik maupun privat membantu pelanggan mengidentifikasi sumber daya pada jaringan dan mengamankan komunikasi antara sumber daya tersebut. Sertifikat publik mengidentifikasi sumber daya pada Internet publik, sementara sertifikat privat melakukan hal yang sama untuk jaringan privat. Satu perbedaan utama adalah aplikasi dan browser memercayai sertifikat publik secara otomatis dan default, sementara administrator harus mengonfigurasi aplikasi secara eksplisit untuk memercayai sertifikat privat. CA Publik, entitas yang menerbitkan sertifikat publik, harus mematuhi peraturan yang ketat, memberikan visibilitas operasional, dan memenuhi standar keamanan yang diberlakukan oleh browser dan vendor sistem operasi yang menentukan CA mana yang dipercayai browser dan sistem operasi secara otomatis. CA Privat dikelola oleh organisasi swasta, dan administrator CA privat dapat membuat peraturan mereka sendiri dalam menerbitkan sertifikat privat, termasuk praktik untuk menerbitkan sertifikat dan informasi apa yang dapat disertakan dalam sertifikat. 

Ketika Anda meminta sertifikat publik melalui ACM, Anda dapat secara opsional menetapkan sertifikat yang dapat diekspor. Setelah sertifikat diterbitkan, Anda dapat memilih dan mengekspor sertifikat melalui Konsol Manajemen AWS. Anda akan diminta untuk menentukan frasa sandi yang akan digunakan ACM untuk mengenkripsi kunci pribadi. Anda kemudian dapat mengunduh dan menyimpan sertifikat, kunci privat, dan rantai sertifikat dan men-deploy sertifikat dengan mengikuti instruksi khusus untuk aplikasi TLS Anda. Anda dapat mengotomatiskan langkah-langkah ini dengan menulis kode atau skrip yang menggunakan AWS SDK atau command-line-interface (CLI).

ACM memudahkan aktivasi SSL/TLS untuk situs web atau aplikasi di lingkungan AWS, hibrida, dan multicloud. ACM mengurangi banyak proses manual yang sebelumnya terkait dengan penggunaan dan pengelolaan sertifikat SSL/TLS. ACM juga dapat membantu Anda menghindari waktu henti karena sertifikat yang salah konfigurasi, dicabut, atau habis masa berlakunya dengan mengelola perpanjangan. Anda mendapatkan perlindungan SSL/TLS dan manajemen sertifikat yang mudah. Mengaktifkan SSL/TLS untuk situs yang dihubungi melalui Internet dapat membantu meningkatkan tingkat pencarian situs Anda dan membantu memenuhi persyaratan kepatuhan peraturan untuk mengenkripsi data dalam transit.

Saat Anda menggunakan ACM untuk mengelola sertifikat, kunci privat sertifikat dilindungi dengan aman dan disimpan menggunakan enkripsi kuat serta praktik terbaik manajemen utama. ACM memungkinkan Anda menggunakan Konsol Manajemen AWS, AWS CLI, atau API ACM untuk mengelola semua sertifikat SSL/TLS ACM dalam Wilayah AWS secara terpusat. ACM terintegrasi dengan layanan AWS lainnya sehingga Anda dapat mengajukan permintaan sertifikat SSL/TLS dan menyediakannya dengan penyeimbang beban Elastic Load Balancing atau distribusi Amazon CloudFront dari Konsol Manajemen AWS, melalui perintah AWS CLI atau dengan panggilan API.

ACM memungkinkan Anda mengelola siklus aktif sertifikat publik dan privat Anda. Kemampuan ACM bergantung pada apakah sertifikat publik atau privat, cara Anda mendapatkan sertifikat, dan di mana Anda melakukan deployment sertifikat.

Sertifikat publik - Anda dapat mengajukan permintaan sertifikat publik yang diterbitkan Amazon di ACM. ACM mengelola perpanjangan dan deployment sertifikat publik yang digunakan dengan layanan yang terkait ACM, termasuk Amazon CloudFront, Elastic Load Balancing, dan Amazon API Gateway.

Sertifikat publik yang dapat diekspor - ACM mengelola perpanjangan sertifikat publik yang diekspor yang dapat Anda terapkan dengan layanan AWS dan/atau di lingkungan on-premise Anda.

Sertifikat privat – Anda dapat memilih untuk mendelegasikan manajemen sertifikat privat kepada ACM. Saat digunakan dengan cara ini, ACM dapat secara otomatis melakukan perpanjangan dan penerapan sertifikat privat yang digunakan dengan layanan yang terkait ACM, termasuk Amazon CloudFront, Elastic Load Balancing, dan Amazon API Gateway. Anda dapat menerapkan sertifikat privat ini dengan mudah menggunakan Konsol Manajemen AWS, API, dan command-line interface (CLI). Anda dapat mengekspor sertifikat privat dari ACM dan menggunakannya dengan instans EC2, kontainer, server on-premise, dan perangkat IoT. AWS Private CA memperpanjang secara otomatis sertifikat tersebut dan mengirimkan pemberitahuan Amazon CloudWatch ketika perpanjangan selesai. Anda dapat menulis kode sisi klien untuk mengunduh sertifikat yang telah diperpanjang serta kunci privat dan menerapkannya dengan aplikasi Anda.

Sertifikat yang diimpor – Jika Anda ingin menggunakan sertifikat pihak ketiga dengan Amazon CloudFront, Elastic Load Balancing, atau Amazon API Gateway, Anda dapat mengimpornya ke ACM menggunakan Konsol Manajemen AWS, AWS CLI, atau ACM API. ACM tidak dapat memperpanjang sertifikat yang diimpor, tetapi dapat membantu Anda mengelola proses perpanjangan. Anda bertanggung jawab untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan memperpanjangnya sebelum berakhir masa berlakunya. Anda dapat menggunakan metrik ACM CloudWatch untuk mengawasi tanggal berakhirnya sertifikat yang diimpor dan mengimpor sertifikat pihak ketiga baru untuk mengganti sertifikat yang telah berakhir masa berlakunya.

Untuk mulai menggunakan ACM, buka Certificate Manager di Konsol Manajemen AWS dan gunakan panduan untuk mengajukan permintaan SSL/TLS. Jika Anda telah membuat Private CA, Anda dapat memilih apakah Anda ingin sertifikat publik atau privat, kemudian memasukkan nama situs Anda. Anda juga dapat mengajukan permintaan sertifikat menggunakan AWS CLI atau API. Setelah sertifikat diterbitkan, Anda dapat menggunakannya dengan layanan AWS lain yang terintegrasi dengan ACM. Untuk setiap layanan terintegrasi, Anda cukup memilih sertifikat SSL/TLS yang Anda inginkan dari daftar menurun dalam AWS Management Console. Jika tidak, Anda dapat menjalankan perintah AWS CLI atau memanggil AWS API untuk menghubungkan sertifikat tersebut dengan sumber daya Anda. Layanan terintegrasi kemudian akan menerapkan sertifikat pada sumber daya yang Anda pilih.  Untuk informasi selengkapnya tentang cara meminta dan menggunakan sertifikat yang disediakan oleh ACM, pelajari selengkapnya di Panduan Pengguna ACM. Selain menggunakan sertifikat privat dengan layanan terintegrasi ACM, Anda juga dapat mengekspor sertifikat privat untuk digunakan pada instans EC2, pada kontainer ECS, atau di mana saja.

• Elastic Load Balancing – Baca Dokumentasi Elastic Load Balancing
• Amazon CloudFront – Baca Dokumentasi CloudFront
• Amazon API Gateway – Baca Dokumentasi API Gateway
• AWS CloudFormation – Dukungan saat ini terbatas pada sertifikat publik dan privat yang diterbitkan oleh ACM. Baca Dokumentasi AWS CloudFormation 
• AWS Elastic Beanstalk – Baca Dokumentasi AWS Elastic Beanstalk
• AWS Nitro Enclaves – Baca Dokumentasi AWS Nitro Enclaves
• AWS Network Firewall – Baca Dokumentasi AWS Network Firewall
• Amazon OpenSearch Service — Baca Dokumentasi Amazon OpenSearch Service

Kunjungi halaman AWS Global Infrastructure untuk melihat ketersediaan Region saat ini untuk layanan AWS. Untuk menggunakan sertifikat ACM dengan Amazon CloudFront, Anda harus mengajukan permintaan atau mengimpor sertifikat dalam wilayah AS Timur (Virginia Utara). Sertifikat ACM di region ini yang terkait dengan distribusi CloudFront didistribusikan ke seluruh lokasi geografis yang dikonfigurasikan untuk distribusi tersebut.

ACM mengelola sertifikat publik, privat, dan yang diimpor. Pelajari selengkapnya kemampuan ACM dalam dokumentasi Menerbitkan dan Mengelola Sertifikat.

Ya. Setiap sertifikat harus menyertakan setidaknya satu nama domain, dan Anda dapat menambahkan nama tambahan pada sertifikat jika Anda mau. Sebagai contoh, Anda dapat menambahkan nama “www.example.net” pada sertifikat untuk “www.example.com” jika pengguna dapat menjangkau situs Anda dengan kedua nama itu. Anda harus memiliki atau mengontrol semua nama yang disertakan dalam permintaan sertifikat Anda. 

Nama domain wildcard sama dengan subdomain atau nama host tingkat pertama apa pun dalam domain. Subdomain tingkat pertama adalah label nama domain tunggal yang tidak berisi titik (dot). Sebagai contoh, Anda dapat menggunakan nama *.example.com untuk melindungi www.example.com, images.example.com, dan nama host atau subdomain tingkat pertama lainnya yang berakhir dengan .example.com. Pelajari lebih lanjut di Panduan Pengguna ACM.

Ya.

Tidak.

Tidak.

Tidak.

Sertifikat yang diterbitkan melalui ACM berlaku selama 198 hari. Jika Anda menerbitkan sertifikat privat secara langsung dari CA privat dan mengelola kunci serta sertifikat tanpa menggunakan ACM untuk manajemen sertifikat, Anda dapat memilih masa berlaku selama apa pun, termasuk tanggal akhir absolut atau waktu relatif, yaitu hari, bulan, atau tahun, terhitung sejak waktu saat ini.

Ya, AWS Certificate Manager (ACM) akan memberikan masa berlaku yang lebih pendek untuk sertifikat publik demi memenuhi ketentuan Certificate Authority/Browser Forum (CA/Browser Forum) untuk sertifikat TLS. ACM sudah menawarkan penanganan otomatis perpanjangan sertifikat dan kemampuan untuk memberi tahu Anda ketika sertifikat baru siap untuk deployment.  Amazon Trust Services adalah peserta aktif dalam Forum CA/Browser yang menetapkan standar untuk sertifikat TLS tepercaya. Untuk memenuhi ketentuan CA/Browser Forum, Amazon Trust Services akan memberlakukan masa pakai sertifikat maksimum sertifikat TLS menurut jadwal berikut:

• Mulai hari ini hingga 15 Maret 2027, masa pakai maksimum untuk sertifikat TLS publik yang diterbitkan adalah 198 hari. Ini adalah pengurangan dari masa pakai sebelumnya, yaitu 395 hari.
• Mulai 15 Maret 2027, masa pakai maksimum untuk sertifikat TLS publik yang diterbitkan akan kurang dari 100 hari.
• Mulai 15 Maret 2029, masa pakai maksimum untuk sertifikat TLS publik yang diterbitkan akan kurang dari 47 hari.

Jika Anda menggunakan sertifikat publik yang dapat diekspor dari ACM, kami memahami kekhawatiran Anda tentang potensi kenaikan biaya seiring berkembangnya periode validitas sertifikat maksimum. AWS berkomitmen untuk mempertahankan harga yang adil untuk sertifikat yang diterbitkan melalui ACM. Ketika standar industri berubah, kami berencana untuk menyesuaikan struktur harga kami agar sesuai dengannya untuk menjaga agar biaya tahunan sertifikat tetap selaras dengan tarif saat ini. Dengan pengurangan validitas dari 395 menjadi 198 hari, kami telah mengurangi harga dari 149 USD/nama wildcard dan 15 USD/FQDN masing-masing menjadi 79 USD dan 7 USD. Silakan merujuk ke halaman harga kami untuk mengetahui harga terbaru.

Secara default, sertifikat yang diterbitkan dalam ACM menggunakan kunci RSA dengan modulus 2048 bit dan SHA-256. Selain itu, Anda dapat mengajukan permintaan sertifikat Algoritma Tanda Tangan Digital Kurva Eliptik (ECDSA) dengan P-256 atau P-384. Pelajari selengkapnya algoritma dalam Panduan Pengguna ACM.

Anda dapat mengajukan permintaan ke ACM untuk menarik sertifikat publik dengan mengunjungi Pusat Dukungan AWS dan membuat kasus. Sertifikat publik yang dapat diekspor dapat ditarik menggunakan API revoke-certificate. Untuk menarik sertifikat privat yang diterbitkan oleh AWS Private CA Anda, lihat Panduan Pengguna AWS Private CA.

Tidak. Sertifikat ACM harus digunakan di Region yang sama seperti sumber daya ketika digunakan. Satu-satunya pengecualian adalah Amazon CloudFront, layanan global yang membutuhkan sertifikat dalam wilayah AS Timur (Virginia Utara). Sertifikat ACM di region ini yang terkait dengan distribusi CloudFront didistribusikan ke seluruh lokasi geografis yang dikonfigurasi untuk distribusi tersebut.

Ya.

Secara opsional, Anda dapat memilih untuk menerbitkan sertifikat publik yang dapat diekspor yang dapat digunakan dengan layanan terintegrasi dan diekspor untuk digunakan dengan beban kerja apa pun yang memerlukan sertifikat TLS. Beban kerja ini dapat berada di dalam AWS, seperti server yang berjalan di EC2, atau di luar AWS, seperti server on-premise. Anda juga dapat menggunakan sertifikat privat yang diterbitkan dengan Private CA dengan instans EC2, kontainer, dan di server Anda sendiri. 

ACM tidak mengizinkan karakter bahasa lokal yang dikodekan Unicode; akan tetapi, ACM mengizinkan karakter bahasa lokal yang dikodekan ASCII untuk nama domain.

ACM hanya mengizinkan ASCII yang dienkodekan UTF-8, termasuk label yang mengandung “xn—”, yang biasanya dikenal sebagai Punycod, untuk nama domain. ACM tidak menerima input Unicode (label u) untuk nama domain.

Ya. Jika Anda ingin menggunakan sertifikat pihak ketiga dengan Amazon CloudFront, Elastic Load Balancing, atau Amazon API Gateway, Anda dapat mengimpornya ke ACM menggunakan AWS Management Console, AWS CLI, atau ACM API. ACM tidak mengelola proses perpanjangan untuk sertifikat yang diimpor. Anda dapat menggunakan Konsol Manajemen AWS untuk mengawasi tanggal berakhirnya masa berlaku sertifikat yang diimpor dan mengimpor sertifikat pihak ketiga baru untuk mengganti sertifikat yang telah berakhir masa berlakunya.

Baik sertifikat publik maupun privat membantu pelanggan mengidentifikasi sumber daya pada jaringan dan mengamankan komunikasi antara sumber daya tersebut. Sertifikat publik mengidentifikasi sumber daya pada Internet.

ACM menyediakan sertifikat publik Validasi Domain (DV) untuk digunakan dengan situs web dan aplikasi yang mengakhiri SSL/TLS. Untuk detail selengkapnya tentang sertifikat ACM, lihat Karakteristik Sertifikat.

Sertifikat publik ACM dipercayai oleh sebagian besar peramban, sistem operasi, dan perangkat seluler modern. Sertifikat yang disediakan ACM memiliki 99% ubikuitas peramban dan sistem operasi, termasuk Windows XP SP3 serta Java 6 dan yang lebih baru.

Beberapa peramban yang memercayai sertifikat ACM akan menampilkan ikon gembok dan tidak mengeluarkan peringatan sertifikat ketika terhubung ke situs yang menggunakan sertifikat ACM alih-alih SSL/TLS. Misalnya, menggunakan HTTPS.

Sertifikat ACM Publik diverifikasi oleh otoritas sertifikat (CA) Amazon. Peramban, aplikasi, atau OS apa pun yang menyertakan Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority - G2 memercayai sertifikat ACM. Untuk informasi selengkapnya tentang root CA, kunjungi Repositori Amazon Trust Services.

Tidak.

Semuanya dijelaskan dalam dokumen Amazon Trust Services Certificate Policies dan Amazon Trust Services Certification Practices Statement. Lihat Repositori Amazon Trust Services untuk versi terbaru.

Tidak. Jika ingin situs direferensikan oleh kedua nama domain (www.example.com dan example.com), Anda harus mengajukan permintaan sertifikat yang menyertakan kedua nama domain tersebut.

Menggunakan ACM membantu Anda mematuhi persyaratan peraturan dengan mempermudah untuk memfasilitasi koneksi yang aman, persyaratan yang umum di banyak program kepatuhan, seperti PCI, FedRAMP, dan HIPAA. Untuk informasi spesifik mengenai kepatuhan, silakan lihat http://aws.amazon.com/compliance.

Tidak, ACM tidak memiliki SLA.

Tidak. Jika Anda ingin menggunakan segel situs, Anda bisa mendapatkannya dari vendor pihak ketiga. Kami menyarankan untuk memilih vendor yang mengevaluasi dan menegaskan keamanan situs, atau praktik bisnis Anda, atau keduanya.

Tidak. Segel dan lencana jenis ini dapat disalin ke situs yang tidak menggunakan layanan ACM, dan digunakan dengan tidak benar untuk menumbuhkan kepercayaan. Untuk melindungi pelanggan kami dan reputasi Amazon, kami tidak mengizinkan logo kami digunakan dengan cara ini.

Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI, atau ACM API/SDK. Untuk menggunakan AWS Management Console, masuk ke Certificate Manager, pilih Ajukan permintaan sertifikat, pilih Ajukan permintaan sertifikat publik, masukkan nama domain untuk situs Anda, dan ikuti instruksi pada layar untuk menyelesaikan permintaan Anda. Anda dapat menambahkan nama domain tambahan pada permintaan Anda jika pengguna dapat menjangkau situs Anda dengan nama lain. Sebelum ACM dapat menerbitkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengendalikan nama domain dalam permintaan sertifikat Anda. Anda dapat memilih validasi DNS atau validasi email ketika mengajukan permintaan sertifikat. Dengan validasi DNS, Anda menulis catatan pada konfigurasi DNS publik untuk domain Anda untuk membuktikan bahwa Anda memiliki atau mengendalikan domain. Setelah Anda menggunakan validasi DNS satu kali untuk menetapkan kendali domain, Anda bisa mendapatkan sertifikat tambahan dan meminta ACM memperpanjang sertifikat yang ada untuk domain selama catatan tetap di tempatnya dan sertifikat tetap digunakan. Anda tidak perlu memvalidasi kendali domain lagi. Jika Anda memilih validasi email dan bukan validasi DNS, email dikirimkan pada pemilik domain meminta persetujuan untuk menerbitkan sertifikat. Setelah memvalidasi bahwa Anda memiliki atau mengendalikan setiap nama domain pada permintaan Anda, sertifikat diterbitkan dan siap untuk disediakan dengan layanan AWS lainnya, seperti Elastic Load Balancing atau Amazon CloudFront.

Secara opsional, Anda dapat memilih untuk menerbitkan sertifikat publik yang dapat diekspor yang dapat Anda gunakan dengan layanan terintegrasi dan diekspor untuk digunakan dengan beban kerja apa pun yang memerlukan sertifikat TLS. Beban kerja ini dapat berada di dalam AWS, seperti server yang berjalan di EC2, atau di luar AWS, seperti server on-premise. Lihat Dokumentasi ACM untuk detailnya.

Sertifikat digunakan untuk menetapkan identitas situs dan mengamankan koneksi antara peramban dan aplikasi serta situs Anda. Untuk menerbitkan sertifikat yang dipercayai secara publik, Amazon harus memvalidasi bahwa pihak yang mengajukan permintaan sertifikat memiliki kendali atas nama domain dalam permintaan sertifkat.

Sebelum menerbitkan sertifikat, ACM memvalidasi bahwa Anda memiliki atau mengendalikan nama domain dalam permintaan sertifikat Anda. Anda dapat memilih validasi DNS atau validasi email ketika mengajukan permintaan sertifikat. Dengan validasi DNS, Anda dapat memvalidasi kepemilikan domain dengan menambahkan catatan CNAME pada konfigurasi DNS Anda. Lihat Validasi DNS untuk detail selengkapnya. Jika Anda tidak memiliki kemampuan untuk menulis catatan pada konfigurasi DNS publik untuk domain Anda, Anda dapat menggunakan validasi email dan bukan validasi DNS. Dengan validasi email, ACM mengirimkan email ke pemilik domain terdaftar, dan pemilik atau wakil yang sah dapat menyetujui penerbitan untuk setiap nama domain dalam permintaan sertifikat. Lihat Validasi email untuk detail selengkapnya. Jika Anda menerbitkan sertifikat untuk digunakan dengan Manajer Amazon CloudFront SaaS, ACM akan menerbitkan sertifikat tervalidasi HTTP secara otomatis. Lihat Validasi HTTP untuk detail selengkapnya.

Jika menerbitkan sertifikat langsung dari ACM, sebaiknya gunakan validasi DNS jika Anda memiliki kemampuan untuk mengubah konfigurasi DNS untuk domain Anda. Pelanggan yang tidak dapat menerima email validasi dari ACM dan yang menggunakan registrar domain yang tidak menerbitkan informasi kontak email pemilik domain dalam WHOIS harus menggunakan validasi DNS. Jika tidak dapat mengubah konfigurasi DNS, Anda harus menggunakan validasi email.

Jika Anda memerlukan sertifikat untuk digunakan dengan manajer Manajer Amazon CloudFront SaaS, ACM akan secara otomatis menyediakan sertifikat tervalidasi HTTP sebagai bagian dari proses penyediaan CloudFront.

Tidak, tetapi Anda dapat mengajukan permintaan sertifikat baru dan gratis dari ACM serta memilih validasi DNS sebagai validasi baru.

Waktu untuk menerbitkan sertifikat setelah semua nama domain dalam permintaan sertifikat divalidasi mungkin beberapa jam atau lebih lama.

ACM mencoba memvalidasi kepemilikan atau kendali dari setiap nama domain dalam permintaan sertifikat Anda menurut metode validasi yang Anda pilih, DNS atau email, saat mengajukan permintaan. Status permintaan sertifikat adalah validasi Tertunda sementara ACM mencoba memvalidasi bahwa Anda memiliki atau mengendalikan domain. Lihat bagian Validasi DNS dan Validasi email di bawah ini untuk informasi selengkapnya tentang proses validasi. Setelah semua nama domain dalam permintaan sertifikat divalidasi, waktu untuk menerbitkan sertifikat mungkin beberapa jam atau lebih lama. Ketika sertifikat diterbitkan, status permintaan sertifikat berubah menjadi Diterbitkan dan Anda dapat mulai menggunakannya dengan layanan AWS lain yang terintegrasi dengan ACM.

Ya. Catatan DNS Certificate Authority Authorization (CAA) memungkinkan pemilik domain untuk menentukan otoritas sertifikat mana yang berhak menerbitkan sertifikat untuk domain mereka. Saat Anda mengajukan permintaan Sertifikat ACM, AWS Certificate Manager mencari catatan CAA dalam konfigurasi zona DNS untuk domain Anda. Jika catatan CAA tidak ada, Amazon dapat menerbitkan sertifikat untuk domain Anda. Sebagian besar pelanggan berada dalam kategori ini.

Jika konfigurasi DNS Anda berisi catatan CAA, catatan tersebut harus menentukan salah satu dari CA berikut sebelum Amazon dapat menerbitkan sertifikat untuk domain Anda: amazon.com, amazontrust.com, awstrust.com, atau amazonaws.com. Lihat Konfigurasi Catatan CAA atau Penyelesaian Masalah CAA dalam Panduan Pengguna AWS Certificate Manager untuk informasi selengkapnya.

Dengan validasi DNS, Anda dapat memvalidasi kepemilikan domain dengan menambahkan catatan CNAME pada konfigurasi DNS Anda. Validasi DNS memudahkan Anda untuk membuktikan bahwa Anda memiliki domain saat mengajukan permintaan sertifikat SSL/TLS publik ke ACM.

Validasi DNS mempermudah proses memvalidasi bahwa Anda memiliki atau mengontrol domain sehingga Anda bisa mendapatkan sertifikat SSL/TLS. Dengan validasi DNS, Anda cukup menulis catatan CNAME pada konfigurasi DNS untuk menetapkan kendali nama domain Anda. Untuk menyederhanakan proses validasi DNS, konsol manajemen ACM dapat mengonfigurasi catatan DNS untuk Anda jika Anda mengelola catatan DNS dengan Amazon Route 53. Hal ini mempermudah Anda menetapkan kendali nama domain dengan beberapa klik mouse. Setelah catatan CNAME dikonfigurasi, ACM secara otomatis memperpanjang sertifikat yang digunakan (terkait dengan sumber daya AWS lainnya) selama catatan validasi DNS tetap di tempatnya. Perpanjangan dilakukan dengan otomatis dan tanpa sentuhan.

Siapa pun yang mengajukan permintaan sertifikat melalui ACM dan memiliki kemampuan untuk mengubah konfigurasi DNS untuk domain yang mereka ajukan harus mempertimbangkan penggunaan validasi DNS.

Ya. ACM terus mendukung validasi email bagi pelanggan yang tidak dapat mengubah konfigurasi DNS mereka.

Anda harus menambahkan catatan CNAME untuk domain yang ingin Anda validasi. Misalnya, untuk memvalidasi nama www.example.com, Anda perlu menambahkan catatan CNAME pada zona untuk example.com. Catatan yang Anda tambahkan berisi token unik yang dibuat oleh ACM secara khusus untuk domain dan akun AWS Anda. Anda dapat memperoleh dua bagian catatan CNAME (nama dan label) dari ACM. Untuk instruksi selengkapnya, lihat Panduan Pengguna ACM.

Untuk informasi selengkapnya tentang cara menambahkan atau memodifikasi catatan DNS, bertanyalah kepada penyedia DNS Anda. Dokumentasi DNS Amazon Route 53 memberikan informasi selengkapnya bagi pelanggan yang menggunakan DNS Amazon Route 53.

Ya. Bagi pelanggan yang menggunakan DNS Amazon Route 53 untuk mengelola catatan DNS, konsol ACM dapat menambahkan catatan pada konfigurasi DNS saat Anda mengajukan permintaan sertifikat. Zona di-host Route 53 DNS untuk domain Anda harus dikonfigurasi dalam akun AWS yang sama seperti yang Anda ajukan permintaan, dan Anda harus memiliki izin yang cukup untuk melakukan perubahan pada konfigurasi Amazon Route 53 Anda. Untuk instruksi lebih lanjut, lihat Panduan Pengguna ACM.

Tidak. Anda dapat menggunakan validasi DNS dengan penyedia DNS apa saja selama penyedia mengizinkan Anda menambahkan catatan CNAME pada konfigurasi DNS Anda.

Satu. Anda bisa memperoleh beberapa sertifikat untuk nama domain yang sama pada akun AWS yang sama menggunakan satu catatan CNAME. Sebagai contoh, jika Anda mengajukan 2 permintaan sertifikat dari akun AWS yang sama untuk nama domain yang sama, Anda hanya perlu 1 catatan CNAME DNS.

Tidak. Setiap nama domain harus memiliki sebuah catatan CNAME yang unik.

Ya.

Catatan CNAME DNS memiliki dua komponen: nama dan label. Komponen nama dari CNAME yang dibuat ACM dibentuk dari karakter garis bawah (_) yang diikuti dengan token, yaitu string unik yang terikat pada akun AWS dan nama domain Anda. ACM menambahkan garis bawah dan token sebelum nama domain Anda untuk membentuk komponen nama. ACM membentuk label dari karakter garis bawah yang ditambahkan sebelum token berbeda yang juga terikat pada akun AWS dan nama domain Anda. ACM menambahkan garis bawah dan token pada nama domain DNS yang digunakan oleh AWS untuk validasi: acm-validations.aws. Contoh berikut menunjukkan pemformatan CNAME untuk www.example.com, subdomain.example.com, dan *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Perhatikan bahwa ACM menghapus label wildcard (*) ketika menghasilkan catatan CNAME untuk nama wildcard. Sebagai hasilnya, catatan CNAME yang dibuat oleh ACM untuk nama wildcard (misalnya *.example.com) adalah catatan yang sama yang dikembalikan untuk nama domain tanpa label wildcard (example.com).

Tidak. Setiap nama domain, termasuk nama host dan nama subdomain, harus divalidasi secara terpisah, masing-masing dengan catatan CNAME yang unik.

Menggunakan catatan CNAME memungkinkan ACM memperpanjang sertifikat selama catatan CNAME ada. Catatan CNAME mengarahkan ke catatan TXT dalam domain AWS (acm-validations.aws) yang dapat diperbarui ACM sesuai yang diperlukan untuk melakukan validasi atau validasi ulang nama domain, tanpa tindakan dari Anda.

Ya. Anda bisa membuat satu catatan CNAME DNS dan menggunakannya untuk memperoleh sertifikat dalam akun AWS yang sama di Wilayah AWS mana pun di mana ACM ditawarkan. Konfigurasikan catatan CNAME satu kali dan sertifikat Anda dapat diterbitkan dan diperpanjang dari ACM untuk nama tersebut tanpa membuat catatan lain.

Tidak. Setiap sertifikat hanya dapat memiliki satu metode validasi.

ACM secara otomatis memperpanjang sertifikat yang digunakan (terkait dengan sumber daya AWS lainnya) selama catatan validasi DNS tetap di tempatnya.

Ya. Cukup hapus catatan CNAME. ACM tidak menerbitkan atau memperpanjang sertifikat untuk domain Anda menggunakan validasi DNS setelah Anda menghapus catatan CNAME dan perubahan dilakukan melalui DNS. Waktu propagasi untuk menghapus catatan bergantung pada penyedia DNS Anda.

ACM tidak dapat menerbitkan atau memperpanjang sertifikat untuk domain Anda menggunakan validasi DNS jika Anda menghapus catatan CNAME.

Dengan validasi email, email permintaan persetujuan dikirimkan ke pemilik domain terdaftar untuk setiap nama domain dalam permintaan sertifikat. Pemilik domain atau wakil yang sah (pemberi persetujuan) dapat menyetujui permintaan sertifikat dengan mengikuti instruksi pada email. Instruksi mengarahkan pemberi persetujuan untuk masuk ke situs web persetujuan dan mengklik tautan pada email atau menempel tautan dari email ke browser untuk masuk ke situs web persetujuan. Pemberi persetujuan mengonfirmasi informasi yang terkait dengan permintaan sertifikat, seperti nama domain, ID sertifikat (ARN), dan ID akun AWS yang mengawali permintaan, lalu menyetujui permintaan jika informasinya akurat.

ACM mengirimkan pesan email validasi ke lima email sistem umum untuk setiap domain, yang dibentuk dengan menambahkan admin@, administrator@, hostmaster@, webmaster@, dan postmaster@ ke nama domain yang Anda minta. ACM tidak lagi mendukung validasi email WHOIS untuk sertifikat baru atau perpanjangan.

Kelima alamat email khusus dibentuk berbeda untuk nama domain yang diawali dengan “www” atau nama wildcard yang dimulai dengan tanda asteris (*). ACM menghapus bagian awal “www” atau asteris dan email dikirimkan kepada alamat administratif yang dibentuk dengan menambahkan admin@, administrator@, hostmaster@, postmaster@, dan webmaster@ pada bagian tersisa nama domain.

Setelah Anda mengajukan permintaan sertifikat, Anda dapat menampilkan daftar alamat email tujuan pengiriman setiap domain menggunakan konsol ACM, AWS CLI, atau API.

Tidak, tetapi Anda dapat mengonfigurasi nama domain dasar tujuan pengiriman email validasi. Nama domain dasar harus berupa superdomain dari nama domain pada permintaan sertifikat. Sebagai contoh, jika Anda ingin mengajukan permintaan sertifikat untuk server.domain.example.com tetapi ingin mengarahkan persetujuan email ke admin@domain.example.com, Anda dapat melakukannya menggunakan AWS CLI atau API. Lihat Referensi ACM CLI dan Referensi ACM API untuk detail selengkapnya.

Ya, tetapi pengiriman email dapat terlambat karena penggunaan proksi. Email dikirimkan melalui proxy dapat berakhir pada folder spam Anda. Lihat Panduan Pengguna ACM untuk saran pemecahan masalah.

Tidak. Prosedur dan kebijakan untuk memvalidasi identitas pemilik domain sangat ketat, dan ditentukan oleh CA/Browser Forum yang menetapkan standar kebijakan untuk otoritas sertifikat yang dipercaya secara publik. Untuk mempelajari selengkapnya, silakan baca Pernyataan Praktik Sertifikasi Layanan Kepercayaan Amazon terbaru dalam Repositori Amazon Trust Services.

Lihat Panduan Pengguna ACM untuk saran pemecahan masalah.

Pasangan kunci dibuat untuk setiap sertifikat yang disediakan oleh ACM. ACM dirancang untuk melindungi dan mengelola kode pribadi yang digunakan bersama sertifikat SSL/TLS. Praktik terbaik enkripsi kuat serta pengelolaan kunci akan digunakan saat melindungi dan menyimpan kode privat.

Tidak. Kunci privat untuk setiap sertifikat ACM disimpan dalam Region pengajuan permintaan sertifikat Anda. Sebagai contoh, ketika Anda memperoleh sertifikat baru di wilayah AS Timur (Virginia U.), ACM menyimpan kunci privat di Wilayah Virginia U. Sertifikat ACM hanya disalin di seluruh Wilayah jika sertifikat dikaitkan dengan distribusi CloudFront. Jika demikian, CloudFront mendistribusikan sertifikat ACM ke lokasi geografis yang dikonfigurasi untuk distribusi Anda.

Perpanjangan dan deployment terkelola ACM mengelola proses perpanjangan sertifikat SSL/TLS ACM dan men-deploy sertifikat setelah diperpanjang.

ACM dapat mengelola perpanjangan dan deployment sertifikat SSL/TLS untuk Anda. ACM membuat konfigurasi dan pengelolaan SSL/TLS untuk layanan web atau aplikasi aman menjadi lebih terlindung secara operasional daripada proses manual yang rentan terhadap kesalahan. Perpanjangan dan penerapan terkelola dapat membantu Anda menghindari waktu henti karena masa berlaku sertifikat telah berakir. ACM beroperasi sebagai layanan yang terintegrasi dengan layanan AWS lainnya. Secara opsional, Anda dapat memilih untuk menerbitkan sertifikat publik yang dapat diekspor yang dapat digunakan dengan layanan AWS yang terintegrasi dan diekspor untuk digunakan dengan beban kerja apa pun yang memerlukan sertifikat TLS. Artinya, Anda dapat mengelola dan men-deploy sertifikat secara terpusat di AWS dengan menggunakan konsol manajemen AWS, AWS CLI, atau API. Dengan Private CA, Anda dapat membuat sertifikat privat dan mengekspornya. ACM memperpanjang sertifikat yang diekspor sehingga memungkinkan kode automasi sisi klien Anda mengunduh dan men-deploy sertifikat.

Sertifikat Publik

ACM dapat memperpanjang dan menerapkan sertifikat ACM publik tanpa validasi tambahan dari pemilik domain. Jika sertifikat tidak dapat diperpanjang tanpa validasi tambahan, ACM mengelola proses perpanjangan dengan memvalidasi kepemilikan domain atau mengontrol setiap nama domain pada sertifikat. Setelah setiap nama domian pada sertifikat telah divalidasi, ACM memperpanjang sertifikat dan menerapkannya secara otomatis dengan sumber daya AWS Anda. Jika ACM tidak dapat memvalidasi kepemilikan domain, kami akan memberitahukannya kepada Anda (pemilik akun AWS).

Jika Anda memilih validasi DNS di permintaan sertifikat Anda, ACM dapat memperpanjang sertifikat tak terbatas tanpa tindakan lain dari Anda, selama sertifikat sedang digunakan (terkait dengan sumber daya AWS lain) dan catatan CNAME Anda tetap di tempatnya. Jika Anda memilih validasi email ketika mengajukan permintaan sertifikat, Anda dapat meningkatkan kemampuan ACM untuk memperpanjang dan menerapkan sertifikat ACM secara otomatis, dengan memastikan bahwa sertifikat sedang digunakan, bahwa semua nama domain yang disertakan dalam sertifikat dapat diselesaikan pada situs Anda, dan bahwa semua nama domain dapat dijangkau dari Internet.

Sertifikat Privat

ACM memberikan dua opsi untuk mengelola sertifikat privat yang diterbitkan dengan AWS Private CA. ACM memberikan kemampuan perpanjangan berbeda-beda, bergantung pada bagaimana Anda mengelola sertifikat privat Anda. Anda dapat memilih opsi manajemen terbaik untuk setiap sertifikat privat yang Anda terbitkan.

1) ACM dapat melakukan secara otomatis perpanjangan deployment sertifikat privat yang diterbitkan AWS Private CA dan digunakan bersama layanan yang terintegrasi ACM, misalnya Elastic Load Balancing dan API Gateway. ACM dapat memperpanjang dan melakukan deployment sertifikat privat yang diterbitkan melalui ACM selama private CA yang menerbitkan sertifikat tetap dalam status Aktif.

2) Untuk sertifikat privat yang Anda ekspor dari ACM untuk digunakan dengan sumber daya on-premise, instans EC2, dan perangkat IoT, ACM memperpanjang sertifikat secara otomatis. Anda bertanggung jawab untuk mengambil sertifikat dan kunci privat baru lalu melakukan deployment dengan aplikasi Anda.

ACM memulai proses perpanjangan hingga 60 hari sebelum tanggal kedaluwarsa sertifikat. Masa berlaku untuk sertifikat ACM saat ini adalah 13 bulan (395 hari). Lihat Panduan Pengguna ACM untuk informasi selengkapnya tentang perpanjangan terkelola.

Tidak. ACM dapat memperpanjang atau mengganti kunci sertifikat dan mengganti yang lama tanpa pemberitahuan sebelumnya.

Jika Anda memilih validasi DNS di permintaan sertifikat untuk sertifikat publik, ACM dapat memperpanjang sertifikat tanpa tindakan lain dari Anda, selama sertifikat sedang digunakan (terkait dengan sumber daya AWS lain) dan catatan CNAME Anda tetap di tempatnya.

Jika Anda memilih validasi email ketika mengajukan permintaan sertifikat publik dengan domain kosong, pastikan pencarian DNS untuk domain kosong mengarah pada sumber daya AWS yang terkait dengan sertifikat. Mengarahkan domain kosong ke sumber daya AWS mungkin menantang jika Anda tidak menggunakan Route 53 atau penyedia DNS lain yang mendukung catatan sumber daya alias (atau yang setara) untuk memetakan domain kosong pada sumber daya AWS. Untuk informasi selengkapnya, baca Panduan Pengembang Route 53.

Tidak, koneksi yang dibuat setelah sertifikat baru di-deploy menggunakan sertifikat baru, dan koneksi yang sudah ada tidak terpengaruh

Ya.

Ya, tetapi Anda juga dapat mempertimbangkan menggunakan AWS Private CA untuk menerbitkan sertifikat privat yang dapat diperpanjang ACM tanpa validasi. Lihat Perpanjangan dan Deployment Terkelola untuk detail tentang cara ACM menangani perpanjangan untuk sertifikat publik yang tidak dapat dijangkau dari Internet dan sertifikat privat.

Ya. Dengan AWS CloudTrail, Anda dapat meninjau log yang dapat memberi tahu Anda kapan kunci privat untuk sertifikat digunakan.

Anda dapat mengidentifikasi pengguna dan akun mana yang memanggil API AWS untuk layanan yang mendukung AWS CloudTrail, alamat IP sumber yang memanggil, dan kapan panggilan tersebut terjadi. Misalnya, Anda dapat mengidentifikasi pengguna yang melakukan panggilan API untuk mengaitkan sertifikat yang disediakan oleh ACM dengan Elastic Load Balancer dan kapan layanan Elastic Load Balancing mendekripsi kunci dengan panggilan API KMS.

Sertifikat publik dan privat yang tersedia melalui AWS Certificate Manager untuk digunakan bersama layanan terintegrasi ACM, seperti layanan Elastic Load Balancing, Amazon CloudFront, dan Amazon API Gateway, tidak dikenai biaya. Anda cukup membayar sumber daya AWS yang dibuat untuk menjalankan aplikasi Anda. AWS Private CA memiliki skema harga bayar sesuai pemakaian; kunjungi halaman Harga AWS Private CA untuk detail dan contoh selengkapnya.

Lihat FAQ AWS Private CA untuk pertanyaan tentang penggunaan AWS Private CA.